Описание

Сервис используется для обеспечения механизмов ААА  при обслуживании пользователей Wi-Fi, подключаемых с использованием механизма безопасности WPA-enterprise (EAP) (точки доступа при подключении клиента производят его авторизацию и аутентификацию по протоколу RADIUS с данными серверами, серверы, в свою очередь, производят запрос клиентских данных из базы данных на серверах DB), а также выполняет вспомогательные функции при авторизации пользователей через ESR/BRAS.

Установка сервиса

apt-get install eltex-radius-db

apt-get install eltex-radius

Способ запуска/остановки

Конфигурация

Конфигурация находится в /etc/eltex-radius. Из всех файлов проводить действия рекомендуется только со следующими:

• local.conf - все основные параметры, которые может понадобиться редактировать;
• certs/server.crt - сертификат сервера, используемый в EAP-TLS;
• certs/server.key - приватный ключ сервера, используемый в EAP-TLS;
• certs/ca/*.pem - сертификаты корневых CA (при настройке EAP-TLS сертификат CA рекомендуется назвать local.pem и прописать в local.conf);

/etc/eltex-radius/local.conf

Содержит основные настройки сервиса:.

# Ports on which the server will listen
auth_port=1812
#acct_port=1813
inner_tunnel_port=18121

# MySQL database
db_host="localhost"
db_port=3306
db_login="radius"
db_password="radpass"
db_name="radius"

# MySQL 'wireless' database
wireless_db_host="localhost"
wireless_db_port=3306
wireless_db_login="javauser"
wireless_db_password="javapassword"
wireless_db_name="wireless"

# PCRF
# If you setting pcrf_enabled=0, then you also should enable accounting port listening in "default" server
pcrf_host="127.0.0.1"
pcrf_port=7080
pcrf_enabled=1

# EAP
ca_cert_name="local.pem"
tls_key_password="1234"

# Proxying
proxy_auth=0
proxy_domain_regex="^(.+\.)?enterprise\.root$"
proxy_host="127.0.0.1"
proxy_port=18121
proxy_secret="eltex"

# Ubiquity vendor detection
ubi_vendor_regex="Apple|Ubiquiti"
vendor_group_enabled=1

# Settings of runtime NAS discovery
dynamic_clients=false
dynamic_client_subnet=192.168.0.0/16
dynamic_client_lifetime=3600
dynamic_client_rate_limit=false

# Proxy SSID (for example to eltex-eap-tls) #139679
proxy_ssid_enabled=0
proxy_ssid_value="EAP_TLS"
proxy_ssid_host="127.0.0.1"
proxy_ssid_port=18122
proxy_ssid_secret="eltex"

• Настройка прослушиваемых портов:

auth_port=1812
acct_port=1813
inner_tunnel_port=18121

• Настройка подключения к базе данных radius:

# MySQL database
db_host="localhost"
db_port=3306
db_login="radius"
db_password="radpass"
db_name="radius"

• Настройка подключения к базе данных wireless:

# MySQL 'wireless' database
wireless_db_host="localhost"
wireless_db_port=3306
wireless_db_login="javauser"
wireless_db_password="javapassword"
wireless_db_name="wireless"

• Подключение к сервису PCRF:

# PCRF
pcrf_host="127.0.0.1"
pcrf_port=7080
pcrf_enabled=1

• Название CA-сертификата, используемого для авторизации по TLS и ключ для серверного сертификата. Эти параметры будут изменены автоматически при выполнении скрипта установки сертификата, который находится в пакете eltex-radius-nbi.

# EAP
ca_cert_name="local.pem"
tls_key_password="1234

• Настройка проксирования запросов на сторонний RADIUS сервер:

proxy_auth=0
proxy_domain_regex="^(.+\.)?enterprise\.root$"
proxy_host="127.0.0.1"
proxy_port=18121
proxy_secret="eltex"

• Активация специальных алгоритмов обработки запросов на авторизацию для устройств некоторых производителей.

ubi_vendor_regex="Apple|Ubiquiti"
vendor_group_enabled=1

• Настройка динамических клиентов для авторизации:

# Settings of runtime NAS discovery
dynamic_clients=false
dynamic_client_subnet=192.168.0.0/16
dynamic_client_lifetime=3600
dynamic_client_rate_limit=false

• Проксирование по SSID:

# Proxy SSID (for example to eltex-eap-tls) #139679
proxy_ssid_enabled=0
proxy_ssid_value="EAP_TLS"
proxy_ssid_host="127.0.0.1"
proxy_ssid_port=18122
proxy_ssid_secret="eltex"

Таблица NAS

Данная таблица находится в БД radius и содержит адреса клиентов (точек доступа), имеющих право отправлять запросы на проведение авторизации пользователей.

Если клиент не включен в эту таблицу, то запросы авторизации будут игнорироваться. После обновления состава этой таблице необходим ручной перезапуск eltex-radius.

service eltex-radius restart

При изменении состава дерева объектов в EMS (добавлении/удалении точек доступа) происходит автоматическое обновление таблицы и перезапуск eltex-radius.

Логирование

Настройки логирования сервера содержатся в секции log файла /etc/eltex-radius/radiusd.conf. По умолчанию секция выглядит так:

log {
  destination = syslog
  syslog_facility = local1
  colourise = yes
  stripped_names = no
  auth = yes
  auth_badpass = yes
  auth_goodpass = yes
  msg_denied = "You are already logged in - access denied"
}

Перенаправлениелогов в Graylog

Настройки для перенаправления находятся в файле /etc/rsyslog.d/eltex-radius.conf

# GELF appender: port=12203
if ( $programname == "radiusd" and $syslogfacility-text == "local1") then {
    action(type="omfwd" target="lab3-test.eltex.loc" port="12203" protocol="udp" template="gelf1")
}

Ротация логов

Для ротации логов при помощи logrotate нужно создать файл конфигурации, пример приведен ниже:

/var/log/eltex-radius/radius.log {
        daily
        rotate 31
        create 640 eltxrad eltxrad
        compress
        delaycompress
        notifempty
        missingok
        postrotate
                invoke-rc.d eltex-radius reload >/dev/null 2>&1 || true
        endscript
}

В данному случае,

• daily - выполнять ротацию ежедневно
• rotate 31 - сохранять файлы за последний 31 день
• create 640 eltxrad eltxrad - создавать новый файл с правами доступа 640, установить владельцем пользователя eltxrad, группу владельца eltxrad, под этой учетной записью работает сервер
• postrotate - reload сервера, чтобы начать запись в созданный файл